LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@karuking0105

【SAS対策】Identity Federation, Active Directory (AD)との連携

Last updated at Posted at 2025-08-18

フェデレーションとは

概要

  • フェデレーション = 外部の認証基盤を使ってAWSにログイン/利用できる仕組み
  • ユーザーをAWS IAM内で個別に作らずに、社内の Active Directory (AD) や SAML 2.0 IdP (Okta, Azure ADなど) と連携できる

仕組み

  • ユーザーは外部IdP(例: 社内AD、AzureAD、Okta)にサインイン
  • IdPが SAMLアサーション を発行
  • AWS IAMロールとマッピングされ、一時的なSTSトークンを発行
  • ユーザーはAWSコンソールやAPIを利用可能

フェデレーションの種類

  • SAML2.0 フェデレーション
    • SAML(Security Assertion Markup Language):インターネット上でIDやパスワードなどの認証情報を連携させるためのシングルサインオン(SSO)を実現する手段の一つ
    • Active Directory/Active Directory Federation Services(ADFS)とAWSを統合
    • Amazonシングルサインオンフェデレーション(SSO)が最新
  • Custom Identity Broker
    • IDプロバイダがSAML2.0と互換性がない場合に使用
  • Web Identity Federation
    • 非推奨、Cognito使用が推奨されている
  • AWS Cognito
    • モバイル、ウェブアプリからAWSリソースへ直接アクセスを提供
    • 例:FBでログインし、S3への書き込みを許可
  • AWS IAM Identity Center (旧 AWS Single Sign-On(SSO))

Microsoft Active Directory (AD)

  • Windows Serverに搭載されているディレクトリサービス
    • ディレクトリサービス:ネットワーク上のリソース(ユーザー、コンピューター、プリンターなど)を管理するためのデータベースのようなもの
  • ユーザーアカウント、グループ、コンピュータ、プリンターなどの情報を一元的に管理できる

AWS Directory Service

AWS Managed Microsoft AD

  • AWS独自のADサービス、Microsoft ADをフルマネージドでAWSに構築
  • オンプレミスADとAWS Managed Microsoft AD間でトラスト接続することで、どちらか一方でログインすれば、どちらのADサービスも利用できる
  • AWS上でActive Directory環境を構築・運用したい場合に使用

AD Connector

  • オンプレミスのADにリダイレクトするディレクトリゲートウェイ(プロキシ)
  • ユーザはオンプレミスADで管理
  • 既存のActive DirectoryをAWSに接続したい場合に使用

Simple AD

  • 簡易的なAD互換ディレクトリ
  • オンプレミスADとの連携は出来ない

AWS IAM Identity Center (旧 AWS Single Sign-On(SSO))

  • AWS Organizations と統合し、複数AWSアカウントへのSSOログインを一元管理
  • 内部のディレクトリを持つことも、外部IdP(Azure AD, Okta, AD)と連携することも可能
  • Webポータルから各AWSアカウントやSaaSアプリにワンクリックでログインできる場合

まとめ

サービス 目的 利用例
Federation (SAML2.0) 社内IdP → AWSにログイン(IAMロール利用) Okta/AzureADからAWS管理コンソールにSSO
AWS Managed Microsoft AD AWS上にフル機能AD構築 WorkSpacesやRDSをドメイン参加
AD Connector オンプレADをそのまま利用(プロキシ) AWSのリソースをオンプレADユーザーで利用
Simple AD 簡易AD(小規模用) テスト・検証用
IAM Identity Center (旧SSO) 複数AWSアカウントのSSOと権限管理 AWS Organizations全体で一元的にユーザーアクセス管理
  • 「複数AWSアカウントにSSOでログインしたい」 → IAM Identity Center (旧SSO)
  • 「オンプレADの認証を使いたい」 → AD Connector or Federation (SAML)
  • 「AWS内で本格的にADを使いたい」 → Managed Microsoft AD
  • 「安く簡単にADっぽい環境を作りたい」 → Simple AD
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?